{"id":242406,"date":"2021-01-19T02:32:49","date_gmt":"2021-01-19T01:32:49","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=242406"},"modified":"2021-11-25T10:29:18","modified_gmt":"2021-11-25T09:29:18","slug":"iobit-forum-gehackt-derohe-ransomware-wurde-verbreitet","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2021\/01\/19\/iobit-forum-gehackt-derohe-ransomware-wurde-verbreitet\/","title":{"rendered":"IOBit-Forum gehackt, DeroHE-Ransomware wurde verbreitet"},"content":{"rendered":"

[English<\/a>]Das Forum des Windows Tool-Entwicklers IOBit wurde am Wochenende gehackt. Ziel des Hacks war es, die DeroHE-Ransomware an Forenbesucher zu verteilen.<\/p>\n

<\/p>\n

\"\"Ich bin jetzt nicht so sicher, ob es unter den Blog-Lesern Betroffene gibt – denn IOBit ist (jedenfalls f\u00fcr mich) ein Anbieter, den man nicht mal mit der Kneifzange anfassen sollte. Denn IOBit bietet so Tools zum Bereinigen und Beschleunigen eines Windows-Systems, Registry-Cleaner, PC-Optimierer oder Malware-Bereiniger an. Alles Windows-Tools, die i.d.R. \u00fcberfl\u00fcssig, in manchen Situationen sogar sch\u00e4dlich sind und von mir unter 'Schlangen\u00f6l' einsortiert werden (siehe mein alter Beitrag Digitales Schlangen\u00f6l: Registry-Cleaner, Driver-Updater & PUPs<\/a>). Aber es gibt Nutzer, die schw\u00f6ren auf IOBit, da kann man nicht gegen ankommen.<\/p>\n

Hack des IOBit-Forums<\/h2>\n

Zum Wochenende wurden die Nutzer des IOBit-Forums mit einer vermeintlich besonderen E-Mail begl\u00fcckw\u00fcnscht. Die Mitglieder des IObit-Forums erhielten E-Mails, die sich als von IObit ausgaben und behaupteten, sie h\u00e4tten Anspruch auf eine kostenlose 1-Jahres-Lizenz f\u00fcr ihre Software als besondere Verg\u00fcnstigung, weil sie Mitglied des Forums sind. Pustekuchen, das war nur ein netter K\u00f6der.<\/p>\n

Ich bin \u00fcber die Kollegen von Bleeping Computer auf den Sachverhalt gesto\u00dfen. Diese haben die Kerninformationen eigentlich in folgenden zwei Tweets<\/a> komprimiert.<\/p>\n

\"IOBit-Forum<\/p>\n

Wer auf die Schaltfl\u00e4che Get It No<\/em>w der vermeintlich von IOBit stammenden Nachricht klickte, wurde zur URL:<\/p>\n

hxxps:\/\/forums.iobit.com\/promo.html<\/p>\n

weiterleitet. Diese Seite existiert aktuell nicht mehr, verteilte aber direkt nach dem Hack eine Datei<\/p>\n

hxxps:\/\/forums.iobit.com\/free-iobit-license-promo.zip.<\/p>\n

Diese Zip-Achrivdatei enthielt digital signierte Dateien des legitimen IObit License Manager-Programms. Allerdings hatten die Angreifer die Datei IObitUnlocker.dll <\/em>durch eine unsignierte, b\u00f6sartige Version ersetzt. Virustotal weist diese als Trojaner aus<\/a>. Und diese Datei lud dann die DeroHE-Ransomware nach.<\/p>\n

Bald meldeten sich Benutzer in Sicherheitsforen wie hier<\/a> oder hier<\/a>, die auf die 'Offerte' hereingefallen waren und die 'Promo' installiert hatten. Stunden sp\u00e4ter wurde das System mit der DeroHE-Ransomware verschl\u00fcsselt und es tauchte eine Forderung \u00fcber 200 Crypto-Coins (ca. 100 US $) zur Entschl\u00fcsselung auf. Die Kollegen von Bleeping Computer haben die Malware noch etwas analysiert und beschreiben hier<\/a> deren Wirkungsweise sowie weitere Details.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Das Forum des Windows Tool-Entwicklers IOBit wurde am Wochenende gehackt. Ziel des Hacks war es, die DeroHE-Ransomware an Forenbesucher zu verteilen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[2564,4715,4328],"class_list":["post-242406","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-hack","tag-ransomware","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/242406","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=242406"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/242406\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=242406"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=242406"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=242406"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}